Les attaques de phishing sont de plus en plus sophistiquées. Les emails conçus pour inciter à télécharger un programme malveillant ou à cliquer sur un lien redirigeant vers un site corrompu sont aujourd’hui plus vrais que nature.
Comme le fait remarquer notre hacker éthique Tom Van de Wiele :
Inutile de jouer au jeu des 7 erreurs : la copie est identique à l’originale !
Le phishing et les pièces jointes malveillantes totalisent, ensemble, environ 34 % des attaques, faisant de l’email le premier vecteur utilisé par les pirates.
Toujours plus de contenus piratés sur les réseaux sociaux
Les salariés, même s’ils sont encore trop nombreux à se faire avoir, sont informés sur le risque de recevoir des emails malveillants dans leur boîte de réception, et ce malgré un filtrage performant.
Mais qu’en est-il avec les réseaux sociaux ?
D’après une étude commanditée par Dell Data Security (Dell EMC), 58% des Français interrogés se connecteraient aux réseaux sociaux depuis l’équipement fourni par leur entreprise.
Cela pose question si l’on met ce pourcentage en relation avec l’évolution des contenus piratés sur ces plateformes – Proofpoint s’attend à une nouvelle augmentation en 2018, après une hausse de 20% en 2017 – et avec l’efficacité des campagnes de phishing sur ce canal. En effet, l’étude menée par Zerofox signale un taux de réussite de 66% (contre 30% pour les campagnes menées par email).
Une mine d’informations pour les attaques de phishing
Pour concevoir des messages ultra-personnalisés en vue d’attaques ciblées (spear-phishing), que cela soit par email ou sur les réseaux sociaux – les pirates vont récolter en amont des informations précieuses sur les comptes de leurs cibles en procédant à de l’ingénierie sociale :
- Informations publiques : Suivant les paramètres de confidentialité choisis et les contenus partagés par l’utilisateur, le pirate aura accès à de nombreuses informations sur l’individu, l’entreprise mais aussi sur les failles informatiques exploitables. Par exemple, une photo prise devant l’écran d’un ordinateur pourra indiquer au pirate les applications utilisées au sein de l’organisation.
- Géolocalisation : Même si les fonctions de géolocalisation liées à vos posts sont désactivées, un pirate a tout de même les moyens de savoir où vous vous trouvez ! Pas forcément visibles pour le commun des mortels, les photos que vous postez, prises avec un smartphone contiennent des métadonnées (heure, date et surtout données GPS).
- Recueil de masse : le hacker peut constituer des bases de données de connexions sociales. Ces informations lui indiqueront quelles identités usurper pour avoir des chances d’être crédible et d’atteindre ses objectifs.
- Violation d’API : Des vulnérabilités ont été découvertes par exemple dans l’API de Facebook, donnant accès aux pirates à de nombreux « graphiques sociaux ». Le hacker éthique belge Inti De Ceukelaire a démontré à de multiples reprises qu’il était facile d’accéder à des données a priori publiées en mode privé.
- Création de faux profils ou détournement de comptes : Il va sans dire que la deuxième option est bien plus crédible pour interagir avec la cible et lui soutirer directement des informations. Dans ce dernier cas, les identifiants et mots de passe auront été soit divulgués sur le darknet – comme cela a été le cas pour des utilisateurs de Linkedin – soit dérobés par campagne de phishing, comme cela a été le cas récemment pour des utilisateurs de Snapchat. Et comme les mots de passe sont très souvent les mêmes d’un compte à l’autre… on vous laisse deviner la suite.
Selon le dernier rapport de F-Secure, les pirates procèdent dans 52% des cas à de l’ingénierie sociale pour infiltrer les organisations.
Des attaques directement menées sur les réseaux sociaux
Une fois les informations collectées, les pirates vont pouvoir procéder de la même manière sur les réseaux sociaux que par email.
Vous avez sûrement vu passer les arnaques massives des bons cadeaux IKEA ou plus récemment l’offre de vols gratuits Air France ? Ces posts vous redirigent vers des sites contrôlés par des pirates afin de vous demander vos données bancaires.
Des attaques, cette fois-ci ciblées, reprennent les mêmes appâts pour infiltrer les organisations.
Un exemple révélateur de l’efficacité de ces nouvelles attaques est la campagne lancée par des hackers russes à l’encontre de 10 000 comptes Twitter de fonctionnaires de la défense américaine.
A partir des connaissances sur les centres d’intérêt des personnes ciblées, des tweets personnalisés ont été créés et diffusés par des bots : un passionné de cinéma recevait un tweet sur les Oscars, un amateur de musique était contacté pour des places de concert.
Mais les pirates ont également ciblé le réseau familial de ces fonctionnaires : la femme d’un agent du Pentagone aurait cliqué sur un tweet de promotion de vacances, permettant le téléchargement d’un logiciel malveillant sur l’ordinateur de son mari.
Si les fonctionnaires de la Défense se font avoir, il est fort à parier que vos salariés puissent cliquer sur un lien corrompu… Si c’est le cas, il n’est jamais trop tard pour riposter !
Catégories